Providers moeten beveiligingslekken melden aan klanten

Telecom- en internetproviders moeten beveiligingslekken, waarbij privégegevens van klanten op straat komen te liggen, niet alleen melden aan de overheid, maar ook aan de getroffen klanten. Dat staat in een wijziging van de Telecomwet.

Niet alle klanten hoeven te worden ingelicht, maar providers moeten mensen van wie de privégegevens door een fout in de beveiliging in handen van derden kunnen zijn gevallen in elk geval vertellen over het lek. De meldplicht geldt voor isp's en telecomproviders, maar niet voor andere bedrijven die met privégegevens te maken hebben, zoals banken, webwinkels of andere dienstenaanbieders. Die meldplicht komt er wellicht wel met een volgende wijziging in de Wet bescherming persoonsgegevens.

Hoewel Europese regelgeving het mogelijk maakt om de overheid de macht te geven gebruikers van het internet af te sluiten, staat er niets in de Telecomwet om dat mogelijk te maken. Het is nog de vraag hoe de overheid zal omgaan met de prioritering van internetverkeer. In een memorie van toelichting staan wel een paar vuistregels, bijvoorbeel dat providers internetverkeer zo moeten reguleren dat zoveel mogelijk mensen toegang blijven krijgen tot het internet. Ook mogen diensten niet worden afgesloten omdat ze mogelijk concurreren met andere diensten van de aanbieder van het netwerk. De wetgever lijkt hier te duiden op een eerdere discussie over het toestaan van voip over 3g-netwerken, dat zou concurreren met beldiensten van providers. Deze vuistregels staan echter nog niet in de Telecomwet.

Ook is de wijziging van de Telecomwet bedoeld om de nieuwe regels omtrent cookies in te voeren. Websites hebben voortaan expliciete toestemming nodig om cookies te plaatsen, maar die toestemming kan ook worden afgelezen van een instelling van de browser. Daardoor verandert er in feite niets, zoals al eerder bleek.

De wijzigingen in de Telecomwet gaan pas in op een later te bepalen datum. De gewijzigde wet is een voorstel en moet nog door de Tweede en Eerste Kamer worden goedgekeurd.

Reacties (26)

beany 5 november 2010 10:28

Vreemd dat het alleen om telecom en internet providers gaat ???

Doe het voor iedereen, of voor niemand!

Ik vind het misschien nog wel erger als een bank gegevens van mij op straat gooit(al dan niet per ongeluk) dan wanneer een telecom provider dat doet.

Verwijderd @beany • 5 november 2010 10:56

Ach, dat hebben banken tientallen jaren lang gedaan. Dat heette toen een rekeningafschrift. Dat werd gewoon - kun je het je voorstellen? - op de fiets rondgebracht door een postbode die dan steeds even weg was en zijn fiets liet staan.

We lijden ook wel aan privacy fobie.

miw @beany • 5 november 2010 11:19

Dat krijg je dus als de telecom wetgeving gebruikt wordt om een privacy aansprakelijkheid te regelen. Dit soort oneigenlijk gebruik zorgt vaak voor slechte wetten en heeft ook maar een zeer beperkte invloed. Beter is natuurlijk om dit gelijk goed te regelen en geen uitzonderingspositie te creeren voor isp's en telco's.

Wraldpyk 5 november 2010 10:26

Lijkt me zeer goed. Om het van persberchten te halen en dan denken, zou ik ook onder die gegevens vallen?
Provider zou natuurlijk dit al uit zichzelf moeten doen. Klant is koning toch?

Verwijderd @Wraldpyk • 5 november 2010 10:32

Mits de klant er op zit te wachten dat zijn of haar provider continue checked op beveiligingslekken aan zijn/haar kant van de verbinding. Ik heb liever niet dat mijn ISP voortdurend mijn verbinding scanned op exploits en andere potentiele security problemen.

Ik begrijp dan ook niet goed dat zo'n wetsverandering beslist dat ISPs dit nu "moeten" doen, waarom zetten ze het niet zo in de wet dat de ISP alleen verplicht is om dit te doen als de klant dat wil?

Ook zou ik graag zelf de keuze behouden of ik afgesloten word of niet als er een lek is aan mijn kant. Als dat op een volstrekt triviaal systeem is dan kan mij dat misschien helemaal niets schelen of misschien bevat het systeem wel helemaal geen persoonsgegevens. Of misschien is het wel met opzet.

Providers zijn al zo inflexibel als wat, dit soort reguleringen zouden daar juist iets aan kunnen doen.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 18:03]

YDh @Verwijderd • 5 november 2010 10:49

Ik kan het mis hebben maar ik denk dat het hier niet over lekken aan de kant van de consument gaat. Volgens mij gaat het over lekken aan de kant van ISP. Met andere woorden, de ISP moet je verbinding niet scannen op exploits en zo.

kimborntobewild @YDh • 7 november 2010 04:34

Ik weet wel zeker dat 't hier niet gaat over lekken aan de kant van de consument. Als iemand de provider hackt en een database downloadt (gewoon door een simpele SQL-injectie bijvoorbeeld), dan moet de provider verplicht alle gedupeerden in die database waarschuwen. Heeft verder niks te maken met de situatie bij de klant thuis.

PiepPiep @Verwijderd • 5 november 2010 10:50

Als ik het goed begrijp gaat het niet over lekken aan de gebruiker zijn kant maar bij de provider.
Als door een lek of hack bij mijn provider een gebruikerslijst van 10.000 mensen gedownload wordt door een onbekent iemand, dan moet de provider dus die 10.000 mensen een mailtje sturen met de uitleg wat er gebeurd is.

Verwijderd 5 november 2010 10:27

Het zou een goede zaak zijn indien alle instellingen die met privacy gevoelig gegevens werken bij lekken dit bekend zouden maken.

Er gebeurd teveel waar niemand iets vanaf weet.

humbug @Verwijderd • 5 november 2010 11:09

Ja ja, altijd, iedereen en natuurlijk zodra er data kan zijn gelekt.

Het lijkt mij goed dat er een duidelijke groep instellingen benoemd wordt en ook duidelijk wordt omschreven wat nu precies een lek is waarna klanten benaderd moeten worden. Ik heb geen behoefte om als ik na een koffiepauze terug kom en zie dat ik mijn laptop niet gelocked heb iedere relatie een bericht te moeten sturen dat er mogelijk iemand in mijn administratie heeft gekeken. Jij wel?

timag @humbug • 5 november 2010 12:59

Daarvan zou je dan wel snel leren om je laptop te locken, iets wat je met klantgegevens op je laptop toch in ieder geval wel moreel verplicht bent te doen...

kimborntobewild @humbug • 7 november 2010 04:37

Ik heb geen behoefte om als ik na een koffiepauze terug kom en zie dat ik mijn laptop niet gelocked heb iedere relatie een bericht te moeten sturen dat er mogelijk iemand in mijn administratie heeft gekeken.

Ten eerste gaat 't niet om jouw behoefte in zo'n geval, maar om die van de klanten (/relaties). Ten tweede gaat 't niet om gevallen waarin het zo geweest kan zijn dat er gegevens gelekt zijn, maar om gevallen waarin bekend is dat er gegevens gelekt zijn. (Als dat eerste wel zo was, dan moest je per definitie altijd alle klanten continue op de hoogte houden als je een Windows-bak met database hebt - want bij een Windows-bak is 't gewoon evident dat 't niet zeker is dat je gegevens niet weglekken, zodra je een internetverbinding hebt.)
Het gaat er dus om dat je 't niet voor je mag houden zodra jij als provider zijnde weet dat er gegevens zijn gelekt. En dat zou natuurlijk juist ook voor banken en webwinkels moeten gelden!

[Reactie gewijzigd door kimborntobewild op 25 juli 2024 18:03]

Verwijderd 5 november 2010 10:33

Het probleem moet bij de bron worden aangepakt. Die lekken moeten zo snel mogelijk gedicht worden zodat het voorkomen kan worden dat privé gegevens op straat komen te liggen. Als het kwaad is geschied kun je het wel melden aan die gene, maar je kunt er niets meer aan veranderen.

arbraxas @Verwijderd • 5 november 2010 10:46

Na een dergelijke melding kun je het in elk geval nog controleren of het verholpen is.
Nu moet je maar hopen dat het de krant haalt.
Geeft ook meer druk om er daadwerkelijk iets aan te doen. Nu kunnen ze er met de pet naar gooien en kan het maanden duren voordat jij het merkt.

wsly075 5 november 2010 10:31

Ik vind het goed dat er een meldplicht is. Hierdoor zullen de isp's en telecomproviders zorgen voor een betere beveiliging van de privegegevens, ookal zijn de kosten hiervoor aan de hoge kant. Deze moeten ze nu afwegen tegen slechte reputatie.

Ik vind het wel goed dat het concurrerende diensten in bescherming neemt tegen de aanbieders. Want internet zou internet moeten zijn. Niet dat je met het ene internet met google kan zoeken en met het andere met bing. (als onrealistisch voorbeeld)

kimborntobewild @wsly075 • 7 november 2010 04:47

Ik vind het goed dat er een meldplicht is.

Alleen is die er helaas (nog) niet. ('t Moet nog door de kamers.)

Auredium 5 november 2010 10:44

Dit soort wetgevingen zijn er enkel voor het'verbeteren van de controleerbaarheid van het internet. Constante scans op exploits van de provider, blacklists ingesteld door overheden. Nu wordt het nog nationaal aangepakt. Zodra voldoende landen een nationaal systeem hebben zullen ze dat internationaal synchroniseren en daarna is het makkelijk actie te ondernemen tegen servers en sites die wat in die sphere of influance liggen en ze uit de lucht te halen. Internet wordt een gecontroleerd main stream media. Vraag is natuurlijk of we dat willen.

timag @Auredium • 5 november 2010 13:00

Misschien moet je het artikel eens lezen... Dat heeft weinig te maken met wat je hier zegt.

kimborntobewild @timag • 7 november 2010 04:54

Hij doelt waarschijnlijk op: "Het is nog de vraag hoe de overheid zal omgaan met de prioritering van internetverkeer. In een memorie van toelichting staan wel een paar vuistregels, bijvoorbeel dat providers internetverkeer zo moeten reguleren dat zoveel mogelijk mensen toegang blijven krijgen tot het internet."
Prioritering is alleen mogelijk als je naar de inhoud van de netwerkpakketjes kijkt. Vervolgens krijg je inderdaad (automatisch) te maken met meer controleerbaarheid van 'het internet' (voor zover die er niet al gewoon is. Maar dat terzijde).
Als hij dit meende in 't artikel te lezen: 'Constante scans op exploits van de provider': dat staat inderdaad niet in 't artikel, als wordt gekeken naar de verplichting om gelekte (NAW-)gegevens te melden. Want 't gaat daarbij om lekken aan de kant van de provider - niet aan de klantkant.

Kennyyy01 5 november 2010 11:12

Als je dit te weten komt ben je in principe toch al te laat.
Ben benieuwd hoe de mensen dan actie gaan ondernemen...

CAPSLOCK2000

Privacy
Nederland
Internettoegang
Politiek en recht

5 november 2010 15:44

Dat van die cookies is zo smerig goed bedacht dat het niet in de wet gaat komen.
Het is zo goed omdat oude browsers die instelling nog niet hebben (of in ieder geval niet leesbaar voor websites). Iedereen met een oude browser zal dus wel een pop-up onder z'n neus krijgen.
Dat zou wel eens een hele goede stimulans kunnen zijn om nu eindelijk eens te upgraden naar een moderne browser.

Tenzij je instelling heel breed uitlegt. "Als het cookie blijft plakken dan heb je blijkbaar toestemming." In dat geval is het een totaal zinloze wet.

HoppyF 5 november 2010 10:26

Goed dat er maatregelen genomen worden jammer dat het weer zo lang moet gaan duren. De Tweede en Eerste kamer staan er niet bekend om snel en efficiënt te werken.

Verwijderd @HoppyF • 5 november 2010 11:00

Je kunt het ook omdraaien : fijn dat de procedures rondom wetten zodanig zijn geregeld dat beslissingen zorgvuldig ingevoerd kunnen worden. Ik herhaal : kunnen.

B.A.L. 5 november 2010 11:39

Hey, de kraan van Duinrel!

kimborntobewild @B.A.L. • 7 november 2010 04:55

Waar zie je die?

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (26)

Sorteer op:

Weergave: